Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Seguimiento de tareas con privilegios en AWS CloudTrail

PDF
RSS
Modo de enfoque
Seguimiento de tareas con privilegios en AWS CloudTrail - AWS Identity and Access Management

La cuenta de administración de AWS Organizations o una cuenta de administrador delegado para IAM pueden realizar algunas tareas de usuario raíz en las cuentas de los miembros mediante el acceso raíz durante un plazo corto. Las sesiones con privilegios de corta duración le proporcionan credenciales temporales que puede utilizar para realizar acciones con privilegios en la cuenta de un miembro de su organización. Puede seguir los siguientes pasos para identificar las acciones realizadas por la cuenta de administración o por un administrador delegado durante la sesión sts:AssumeRoot.

nota

El punto de conexión global no es compatible para sts:AssumeRoot. CloudTrail registra los eventos de ConsoleLogin en la región especificada para el punto de conexión.

Cómo realizar un seguimiento de las acciones realizadas por una sesión con privilegios en los registros de CloudTrail

  1. Busque el evento AssumeRoot en los registros de CloudTrail. Este evento se genera cuando la cuenta de administración o el administrador delegado de IAM obtiene un conjunto de credenciales de corto plazo con sts:AssumeRoot.

    En el siguiente ejemplo, el evento de CloudTrail para AssumeRoot se registra en el campo eventName.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:JohnRole1",
        "arn": "arn:aws:sts::111111111111:assumed-role/JohnDoe/JohnRole1",
        "accountId": "111111111111",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111111111111:role/JohnDoe",
                "accountId": "111111111111",
                "userName": "Admin2"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-10-25T20:45:28Z",
                "mfaAuthenticated": "false"
            },
            "assumedRoot": "true"
        }
    },
    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
        }
    }
}

    Para conocer los pasos a seguir para acceder al registro de CloudTrail, consulte Obtención y visualización de archivos de registros de CloudTrail en la Guía del usuario de AWS CloudTrail.

  2. En el registro de eventos de CloudTrail, busque la targetPrincipal que especifique las acciones de la cuenta del miembro y el accessKeyId que sea exclusiva de la sesión AssumeRoot.

    En el siguiente ejemplo, la targetPrincipal es 222222222222 y el accessKeyId es ASIAIOSFODNN7EXAMPLE.

    "eventTime": "2024-10-25T20:52:11Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRoot",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",    
    "requestParameters": {
        "targetPrincipal": "222222222222",
        "taskPolicyArn": {
            "arn": "arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy"
        }
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
            "expiration": "Oct 25, 2024, 9:07:11 PM"
    }
}

  3. En los registros de CloudTrail de la entidad principal objetivo, busque el ID de clave de acceso que corresponda al valor accessKeyId del evento AssumeRoot. Utilice los valores del campo eventName para determinar las tareas con privilegios que se realizaron durante la sesión AssumeRoot. Es posible que se realicen varias tareas con privilegios en una sola sesión. La duración máxima de la sesión AssumeRoot es de 900 segundos (15 minutos).

    En el siguiente ejemplo, la cuenta de administración o el administrador delegado eliminaron la política basada en recursos de un bucket de Amazon S3.

    {
    "eventVersion": "1.10",
    "userIdentity": {
        "type": "Root",
        "principalId": "222222222222",
        "arn": "arn:aws:iam::222222222222:root",
        "accountId": "222222222222",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2024-10-25T20:52:11Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-10-25T20:53:47Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "DeleteBucketPolicy",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.1",
    "requestParameters": {
        "bucketName": "resource-policy-JohnDoe",
        "Host": "resource-policy-JohnDoe.s3.amazonaws.com",
        "policy": ""
    },
    "responseElements": null,
    "requestID": "1234567890abcdef0",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "resources": [
        {
            "accountId": "222222222222",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::resource-policy-JohnDoe"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "222222222222",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "resource-policy-JohnDoe.s3.amazonaws.com"
    }
}

Related resources

Referencia de la API de AWS Identity and Access Management
Comandos de la AWS CLI de AWS Identity and Access Management
Herramientas y SDK 

Related resources

Referencia de la API de AWS Identity and Access Management
Comandos de la AWS CLI de AWS Identity and Access Management
Herramientas y SDK 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.